Matthias Hanreich - TheGreyKnight

Transkript

1 Matthias Hanreich - TheGreyKnight

2 Grundlagen Code Injection Beispiel: Buffer Overflow Gegenmaßnahmen Code Injection Return Oriented Programming (ROP) Gegenmaßnahmen ROP Demonstration CVE Hands On: ROP-Challenge Aktueller Forschungsstand

3 Einschleusen von fremdem Programmcode um Verhalten von Software zu ändern Ausnutzen von Programmier- oder Designfehlern (auch Hardware) Wird zur Laufzeit ausgeführt Manipulierte Dateien (PDFs, Webseiten, Word Dokumente, MP3s )

4 Installation von Hintertüren System Hijacking (Metasploit Reverse Session) Privilege Escalation (Jailbreak) Temporäre Manipulation

5 schreibbarer Speicherbereich + zugreifbare Speicheradresse Nicht initialisierter Speicher Buffer/Heap/Stack Overflow Dangling Pointer (Use-After-Free) Memory leaks

6 Open root-shell on linux

7

8 0x1000ffff 0xAAAAAAAA 0x1000bbaa 0x1000aaaa StackFrame Main char* input AAAAAAAAAAA AAAAAAAAAAA Return Adresse AAAAAAAAAAA Saved ESP AAAAAAAAAAA AAAAAAAA Buffer[80] Parameter von foo Lokale Variablen von foo Input = 100 x A

9 0x1000ffff StackFrame Main 0x1000bbaa 0x1000aaaa char* input 0x100bbaa Return Adresse Saved ESP Padding Buffer[80] Exploit Code Parameter von foo Lokale Variablen Von foo Input = Exploit Code + Padding + Jump Address

10

11 Buffer Overflow: Vermeidung von Programmierfehlern (haha!) Typsichere Sprachen Überprüfung der Buffergrenzen (fgets) Canary Kopie der Return Adresse Code Injection: Control Flow Integrity (CFI) Data Execution Prevention (DEP)

12 0x1000ffff StackFrame Main Zusätzlicher Speicherbereich mit zufällig gewählter Größe 0x1000aaaa char* input Return Adresse Saved ESP Canary exploit code Buffer[80] Parameter von foo Lokale Variablen von foo

13 0x1000ffff StackFrame Main char* input Return Address Saved ESP exploit code Buffer[80] Parameter von foo Lokale Variablen von foo 0x1000aaaa Kopierte Return Adr

14 main() foo() foo2() foo3() foo4() Bei Abweichung vom Control Flow: Abbruch

15 Synonyme: NX-Bit, XD-Bit, W+X protection Speicherseite bekommt zusätzlichen Flag ausführbar Ziel: Code soll entweder nur geschrieben/gelesen oder nur ausgeführt werden Injected Code wird nicht ausgeführt

16 Virtual Address Space Page 1 Page 2 Page 3 0x xffffffff Physical Memory 32bit Architektur nur mit Physical Address Extention

17

18

19 Verwendung von bereits existierendem Programmcode Verkettung von Speicheraddressen (ROP-Chain) Turing-complete (theoretisch jedes Programmverhalten abbildbar) Shacham 2008: When good instructions go bad: Generalizing return-oriented programming to RISC

20 ge-rop-te Plattformen: Intel x86, SPARC, PowerPC, ARM, Z80 Return-to-LibC: Verkettung von Funktionen aus LibC Generalized ROP: Verkettung von Assembler Instruktionen Reverse Engineering zum finden von Gadget- Addressen

21 ROP Chain LibC Gadget 3 Gadget 2 Gadget 1 0x2b4ac89e 0x2b4acd62 0x2b4a334f retn retn Function 3 Function 2 Function 1

22 Random Library ROP Chain Gadget 3 0x2b4ac89e call EBX retn Gadget 2 Gadget 1 0x x2b4acd62 0x2b4a334f retn retn pop EBX retn xchg EAX, ESP retn

23 Code Injection + Code Reuse Memory Page RW X Exploit ROP Chain Exploit Code

24 Address Space Layout Randomization (ASLR) Trampolining Control Flow Integrity Heuristiken, Forward Simulation Überwachung kritischen Funktionen: Register Value Checking (z.b. ESP im Speicherbereich des aktuellen Threads)

25 Verschleierung der Basisaddressen von Libraries, Heap, Stack Fine Grained ASLR: Randomisierung von Funktionsadressen

26 Libraries werden zu BlackBoxen Nur Trampolin-Funktion nach außen sichtbar Trampolin-Funktion leitet Funktionsaufruf innerhalb der Library weiter LibC Trampolin

27 Microsoft EMET ROPGuard ROPecker kbouncer CFI for COTS binaries

28

29 Sicherheitslücke in Internet Explorer 6 9 System Hijacking möglich Use-After-Free Heap Spray ROP Chain Exploit Code (Metasploit Reverse Session)

30 CMshtmlEd CMshtmlEd CMshtmlEd CMshtmlEd CMshtmlEd CMshtmlEd CMshtmlEd CMshtmlEd CMshtmlEd Exploit CMshtmlEd Code <body onselect= TestArray() > document.execcommand( selectall ) document.write( L ) parent.arrr[l].src = Exploit Code CMshtmlEd::Exec

31 0x8fffffff 0x Heap NOPs Exploit Code NOPs Exploit Code NOPs Exploit Code NOPs Exploit Code NOPs Exploit Code NOP-Sled

32 Payload 0x8fffcccc 0x8fffaaaa NOPs ROP Code Metasploit Reverse Session Exploit Code

33 Internet Explorer Memory Page of Heap NOPs ROP Code RW X Redirect CMshtmlEd Code CMshtmlEd::Exec Metasploit Reverse Session EAX = 0x0C0C0C0C call EAX + 8

34

35 Demonstration

36 defcon 2015 Quals: r0pbaby DP5y-atHs-6eJF2-jDzFNsa?dl=0 picoctf 2014: Hardcore ROP writeups/tree/master/hardcore_rop

37 ROP immer noch ein Problem viele vorgestellten Gegenmaßnahmen/Tools wurden gebrochen ASLR / CFI sind aktuelle Forschungsthemen

38 FuzzySecurity ml Corelian ploit-writing-tutorial-part-10-chaining-dep-withrop-the-rubikstm-cube/

39 Shacham 2008: When good instructions go bad: Generalizing return-oriented programming to RISC Davi, Lehman 2014: Stitching the Gadgets: On the Ineffectiveness of Coarse-Grained Control-Flow Integrity Protection Davi, Liebchen 2015: Isomeron: Code Randomization Resilient to (Just-In-Time) Return-Oriented Programming Arias, Davi, Hanreich 2015: HAFIX: Hardware- Assisted Flow Integrity Extension

40